iT邦幫忙

2023 iThome 鐵人賽

DAY 1
0
自我挑戰組

馬克的 Kali Linux 與資安學習小筆記系列 第 1

30-1 開篇與 OWASP Web Security Testing Guide

  • 分享至 

  • xImage
  •  

這一次本來沒打算寫這個主題,本來是打算寫一個好的系統維護篇,但是我發現那條地圖我沒辦法連起來,因此就臨時換成一這個主題,因為我手邊剛好有一本 Kail Linux 與駭客相關的睡前讀物……

所以這 30 天有點比較像是讀書的記錄,但中間可能會加上幾個我想理解的東西,目前的規畫大至上的主題有 :

  • Linux 相關的基本知識篇

  • 戰前收集情報篇

  • 目標探測工具

  • 滲透工具

  • 漏洞評估工具

  • Web 掃描工具

  • GCP Security

接下來就開始吧 ~


OWASP Web Security Testing Guide

由於我的工作大部份都是 web 後端相關,因此在 web 安全的東西之前有在 suvery 一些資安標準相關的東西,最後有查到一個名為『 OWASP Testing Guide 』的東東。

它主要的目的為 :

提供一個框架可以讓我們工程人員『 評估和驗證 Web 應用的安全性。

在沒找到這個東西以前,我對如何診斷我們家的資安還真是完全沒有個頭緒… 白話文就是所謂的,來了在說… 罪過罪過 ~~

主要內容文件如下 :

https://owasp.org/www-project-web-security-testing-guide/stable/

然後 OWASP Testing Guide 是由 OWASP 這個組織所提供的資安測試框架,它裡面共分成了 11 個測試部份 :

1. 資訊收集 Information Gathering

這個類別主要是說資訊洩漏的部份,例如其中一個章節為 Conduct Search Engine Discovery Reconnaissance for Information Leakage 就是指可以用搜索引擎發現一些敏感資訊。

例如有人不小心將 config 檔放在 web 上,然後 google 爬蟲就抓到了…

2. 配置與部署管理測試 Configuration and Deployment Management Testing

這個主要是在談到如何評估配置和部部署的安全性。例如有一個章節說到 Test Network Infrastructure Configuration 這裡就是在說一些防火牆或路由的配置之類,其它還有 application 的配置也有。

3. 身份管理測試 Identity Management Testing

主要是說 web 服務的身份管理部份與如何評估身份管理和身份驗證相關的安全性,測試包括用戶註冊、角色分配、權限設置等方面。

有點像是一個 user 是什麼角色,就只能做什麼樣的事情的概念。

4. 認證測試 Authentication Testing

與上面的章節相比,這個比較像是『 身份驗證機制流程 』的安全性,測試項目可能包括測試密碼安全性、多因素身份驗證、驗證錯誤處理等。

5. 授權測試 Authorization Testing

關注評估 Web 的授權機制,包括測試用戶是否有權訪問特定資源、功能或數據。這涉及到角色權限、資源許可權和功能權限等方面的測試。

6. 會議管理測試 Session Management Testing

session 是 web 中一個常見的東西,簡單的說它允許 web 與用戶訪問網站在一定期間內保持用戶的狀態,像一些身份驗證相關的會在裡面。

這一題會在之後章節來詳細說明一下,因為這的很常見,然後這裡的測試就是 session 相關的安全性。

7. 輸入驗證測試 Input Validation Testing

這個就不解釋太多,就是你 web 上看到可以 input 的地方,這在開發時前、後端平常都應該會注意的,像常見的 sql injection 就是很常見的檢查。

8. 錯誤處理測試 Testing for Error Handling

這裡子節只有兩個 :

  • Testing for Improper Error Handling
  • Testing for Stack Traces

簡單的說就是錯誤資訊洩露的問題。

9. 加密測試 Testing for Weak Cryptography

主要是一些加密機制的安全性驗證,例如你直接用 http 就一定不會過… 或是機密資料直接用啥 base64 也是…

10. Business Logic Testing

這個就不太需要說明了 ~

11. Client-side Testing

這章節主要就是在說客戶端(通常指瀏覽器端)的安全性測試,仔細看了一下,我發現每一個都應該是前端開發人員需要知道的呢 ~

這裡列一下有那些子章 :

  • Testing for DOM-Based Cross-Site Scripting

  • Testing for JavaScript Execution

  • Testing for HTML Injection

  • Testing for Client-side URL Redirect

  • Testing for CSS Injection

  • Testing for Client-side Resource Manipulation

  • Testing Cross-Origin Resource Sharing

  • Testing for Cross-Site Flashing

  • Testing for Clickjacking

  • Testing WebSockets

  • Testing Web Messaging

  • Testing Browser Storage

這些都可以當前端安全評估的一個方向呢 ~

總結

簡單的說,如果你這些測試都有過,那代表你的資安還算可行… 不是只是可以動的東西…
然後接下來後面的章節就是會以這些東西來當基礎開始的研究這個領域的東西 ( 以攻擊者的角度… )

參考資料


下一篇
30-2 Linux 目錄小介紹
系列文
馬克的 Kali Linux 與資安學習小筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言